Ошибки в транспортном приложении Moovit позволили хакерам взломать до миллиарда аккаунтов

Moovit – это израильское приложение, которое позволяет составлять маршруты, отслеживать общественный транспорт по картам и покупать билеты на автобусы, электрички и поезда. В 2020 году стартап был выкуплен Intel, и на сегодняшний день он работает для путешественников по всему миру. По данным самой компании, у нее около 1,7 млрд клиентов в 112 странах.

Специалисты по кибербезопасности обнаружили в Moovit три опасные уязвимости. Они позволяют злоумышленникам собирать регистрационные данные пользователей (номера телефонов, электронную почту, домашние адреса и т.д.) и даже воровать их аккаунты с привязанными к ним банковскими картами. При этом хакеры могли действовать настолько незаметно, что жертва ни о чем не подозревала, пока не обнаруживала подозрительные списания со своего счета.

Несмотря на высокую опасность обнаруженных уязвимостей, Moovit заявила, что доказательств использования уязвимостей не существует. Как только специалисты по безопасности передавали информацию о недоработках, компания оперативно их устраняла.

Касласи также отметила, что Moovit не хранит данные о банковских картах, поэтому маловероятно, что злоумышленники действительно оплачивали поездки с украденных аккаунтов. Тем более, что служба продажи билетов активна только на территории Израиля. Но специалисты из компании SafeBreach, обнаружившие уязвимости, заявили, что не заметили различий между клиентами из Израиля и других стран. Поэтому техническая возможность похищать средства с банковских карт клиентов Moovit была, но воспользовались ли ей злоумышленники – открытый вопрос.